向Sourcefire使用者代理使用的Active Directory使用者帳戶授予最低許可權
簡介
本文檔介紹如何為Active Directory(AD)使用者提供查詢AD域控制器所需的最低許可權。Sourcefire使用者代理使用AD使用者來查詢AD域控制器。為了執行查詢,AD使用者不需要任何其他許可權。
必要條件
需求
思科要求您在Microsoft Windows系統上安裝Sourcefire使用者代理並提供對AD域控制器的訪問。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
設定
首先,管理員必須專門為使用者代理訪問建立新的AD使用者。如果此新使用者不是域管理員組的成員(他們不應是),則可能需要明確授予該使用者訪問Windows Management Instrumentation(WMI)安全日誌的許可權。若要授予許可權,請完成以下步驟:
- 開啟WMI控制控制檯:
- 在AD伺服器上,選擇Start選單。
- 按一下「Run」,然後輸入wmimgmt.msc。
- 按一下「OK」(確定)。出現WMI控制控制檯。
- 在AD伺服器上,選擇Start選單。
- 在WMI控制檯樹上,按一下右鍵WMI Control,然後按一下Properties。
- 按一下Security頁籤。
- 選擇要授予使用者或組訪問許可權的名稱空間(
Root\CIMV2),然後按一下Security。
- 在「安全」對話方塊中,按一下新增。
- 在選擇使用者、電腦或組對話方塊中,輸入要新增的對象(使用者或組)的名稱。按一下「Check Names」以驗證您的輸入,然後按一下「OK」。您可能必須更改位置或按一下高級才能查詢對象。有關詳細資訊,請參閱上下文相關幫助(?)。
- 在「安全」對話方塊的「許可權」部分中,選擇允許或拒絕以向新使用者或組授予許可權(最容易授予所有許可權)。 必須至少為使用者提供遠端啟用許可權許可權。
- 按一下「Apply」以儲存變更。關閉視窗。
驗證
目前沒有適用於此組態的驗證程序。
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
如果在配置更改後問題仍然存在,請更新分散式元件對象模型(DCOM)設定以允許遠端訪問:
- 選擇Start選單。
- 按一下Run並輸入DCOMCNFG。
- 按一下「OK」(確定)。此時將出現「元件服務」對話方塊。
- 在「元件服務」對話方塊中,展開元件服務,展開電腦,然後按一下右鍵我的電腦,然後選擇屬性。
- 在「My Computer Properties(我的電腦屬性)」對話方塊中,按一下「COM Security(COM安全)」頁籤。
- 在「啟動和啟用許可權」下,按一下「編輯限制」。
- 如果您的姓名或您的組未顯示在「組或使用者名稱」清單中,請在「啟動和啟用許可權」對話方塊中完成以下步驟:
- 在「啟動和啟用許可權」對話方塊中,按一下新增。
- 在「選擇使用者、電腦或組」對話方塊的「輸入要選擇的對象名稱」欄位中輸入您的姓名和組,然後按一下確定。
- 在「啟動和啟用許可權」對話方塊中,按一下新增。
- 在「啟動和啟用許可權」對話方塊中,在「組或使用者名稱」部分選擇您的使用者和組。
- 在「使用者許可權」下的「允許」列中,選中Remote Launch和Remote Activation覈取方塊,然後按一下OK。
- 如果問題仍然存在,請在域控制器上嘗試在「管理稽核和安全日誌」策略中新增使用者。要新增使用者,請完成以下步驟:
- 選擇組策略管理編輯器。
- 選擇Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment。
- 選擇管理稽核和安全日誌。
- 新增使用者。
- 選擇組策略管理編輯器。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
05-Jun-2015 |
初始版本 |
意見